Criar associações que executam arquivos MOF
Você pode executar arquivos Managed Object Format (MOF) para impor um estado desejado nos nós gerenciados do Windows Server com o State Manager, um recurso do AWS Systems Manager, usando o documento SSM AWS-ApplyDSCMofs
. O documento AWS-ApplyDSCMofs
tem dois modos de execução: Com o primeiro modo, você pode configurar a associação para verificar e relatar se os nós gerenciados estão no estado desejado definido nos arquivos MOF especificados. No segundo modo, você pode executar os arquivos MOF e alterar a configuração de seus nós com base nos recursos e seus valores definidos nos arquivos MOF. O documento AWS-ApplyDSCMofs
permite que você faça download e execute arquivos de configuração MOF do Amazon Simple Storage Service (Amazon S3), um compartilhamento local ou um site seguro com um domínio HTTPS.
O State Manager registra e relata o status de cada execução de arquivo MOF durante cada execução de associação. O State Manager também informa a saída de cada execução de arquivo MOF como um evento de conformidade que você pode visualizar na página Conformidade do AWS Systems Manager
A execução do arquivo MOF é criada na configuração de estado desejado do Windows PowerShell (PowerShell DSC). O PowerShell DSC é uma plataforma declarativa usada para configuração, implantação e gerenciamento de sistemas Windows. O PowerShell DSC permite que os administradores descrevam, em documentos de texto simples chamados configurações de DSC, como desejam que um servidor seja configurado. A configuração do PowerShell DSC é um script do PowerShell especializado que informa o que fazer, mas não como fazer. Executar a configuração produz um arquivo MOF. O arquivo MOF pode ser aplicado a um ou mais servidores para atingir a configuração desejada para esses servidores. Os recursos do PowerShell DSC fazem o trabalho real de aplicação da configuração. Para obter mais informações, consulte Visão geral de configuração de estado desejado do Windows PowerShell
Tópicos
- Usar o Amazon S3 para armazenar artefatos
- Resolver credenciais em arquivos MOF
- Usar tokens em arquivos MOF
- Pré-requisitos para criar associações que executam arquivos MOF
- Criar uma associação que executa arquivos MOF
- Solução de problemas na criação de associações que executam arquivos MOF
- Visualizar detalhes de conformidade de recurso do DSC
Usar o Amazon S3 para armazenar artefatos
Se você estiver usando o Amazon S3 para armazenar módulos do PowerShell, arquivos MOF, relatórios de conformidade ou relatórios de status, a função do AWS Identity and Access Management (IAM) usada pelo SSM Agent do AWS Systems Manager deverá ter permissões GetObject
e ListBucket
no bucket. Se você não fornecer essas permissões, o sistema retornará um erro de acesso negado. Abaixo estão informações importantes sobre como armazenar artefatos no Amazon S3.
-
Se o bucket estiver em uma conta da Conta da AWS diferente, você deverá criar uma política de recurso de bucket que conceda as permissões
GetObject
eListBucket
para a conta (ou a função IAM). -
Se você quiser usar recursos do DSC personalizados, poderá fazer download desses recursos de um bucket do Amazon S3. Você pode também instalá-los automaticamente a partir da galeria do PowerShell.
-
Se você estiver usando o Amazon S3 como uma origem de módulo, precisará fazer upload do módulo como um arquivo Zip com distinção entre letras maiúsculas e minúsculas no seguinte formato:
ModuleName
_ModuleVersion
.zip. Por exemplo: MyModule_1.0.0.zip. -
Todos os arquivos devem estar na raiz do bucket. As estruturas da pasta não são compatíveis.
Resolver credenciais em arquivos MOF
As credenciais são resolvidas usando o AWS Secrets Manager ou AWS Systems Manager Parameter Store. Isso permite que você configure a rotação de credencial automática. Isso também permite que o DSC propague automaticamente credenciais para seus servidores sem reimplantar os MOFs.
Para usar uma chave secreta AWS Secrets Manager em uma configuração, crie um objeto PSCredential onde o nome de usuário é SecretId ou SecretARN do segredo que contém a credencial. Você pode especificar qualquer valor para a senha. O valor é ignorado. Veja um exemplo a seguir.
Configuration MyConfig { $ss = ConvertTo-SecureString -String '
a_string
' -AsPlaintext -Force $credential = New-Object PSCredential('a_secret_or_ARN
', $ss) Node localhost { Filefile_name
{ DestinationPath = 'C:\MyFile.txt' SourcePath = '\\FileServer
\Share
\MyFile
.txt' Credential = $credential } } }
Compile o MOF usando a configuração PsAllowPlaintextPassword em dados de configuração. Isso é aceitável, pois a credencial contém apenas um rótulo.
No Secrets Manager, certifique-se de que o nó tenha acesso GetSecretValue em uma política gerenciada do IAM e, opcionalmente, na política de recurso secreta se houver. Para trabalhar com o DSC, o segredo deverá estar no seguinte formato.
{ 'Username': '
a_name
', 'Password': 'a_password
' }
O segredo pode ter outras propriedades (por exemplo, propriedades utilizadas para rotação), mas deve ter pelo menos as propriedades de nome de usuário e senha.
É recomendável que você use um método de rotação de vários usuários, onde há dois nomes de usuário e senhas diferentes, e a função de rotação AWS Lambda alterna entre eles. Esse método permite que você tenha várias contas ativas e, ao mesmo tempo, elimine o risco de bloqueio de um usuário durante a rotação.
Usar tokens em arquivos MOF
Os tokens permitem modificar valores de propriedade de recurso após o MOF ser compilado. Isso permite que você reutilize arquivos MOF comuns em vários servidores que exigem configurações muito semelhantes.
A substituição de token funciona apenas para as propriedades de recurso do tipo String
. No entanto, se o recurso tiver uma propriedade de nó CIM aninhada, ele também resolverá tokens de propriedades String
nesse nó CIM. Não é possível usar substituição de token para números ou matrizes.
Por exemplo, considere um cenário em que você está usando o recurso e xComputerManagement e deseja renomear o computador usando DSC. Normalmente, você precisaria de um arquivo MOF dedicado para essa máquina. No entanto, com o suporte de token, você pode criar um único arquivo MOF e aplicá-lo a todos os seus nós. Na propriedade ComputerName
, em vez de codificar o nome do computador no MOF, você pode usar um token do tipo tag de instância. O valor é resolvido durante a análise de MOF. Veja o exemplo a seguir.
Configuration
MyConfig
{ xComputer Computer { ComputerName = '{tag:ComputerName}' } }
Em seguida, defina uma tag no nó gerenciado no console do Systems Manager ou uma tag do Amazon Elastic Compute Cloud (Amazon EC2) no console do Amazon EC2. Quando você executa o documento, o script substitui o token {tag:ComputerName} para o valor da tag da instância.
Você também pode combinar várias tags em uma única propriedade, por exemplo:
Configuration
MyConfig
{ File MyFile { DestinationPath = '{env:TMP}\{tag:ComputerName}' Type = 'Directory' } }
Há cinco tipos diferentes de tokens que você pode usar:
-
tag: Amazon EC2 ou tags de nós gerenciados.
-
tagb64: é igual à tag, mas o sistema usa base64 para decodificar o valor. Isso permite que você use caracteres especiais em valores de tag.
-
env: resolve variáveis de ambiente.
-
ssm: valores do Parameter Store. Somente os tipos string e string segura têm suporte.
-
tagssm: é igual à tag, mas se a tag não estiver definida no nó, o sistema tentará resolver o valor de um parâmetro do Systems Manager com o mesmo nome. Isso é útil em situações em que você deseja um "valor global padrão", mas quer substituí-lo em um único nó (por exemplo, implantações de uma caixa).
Veja um exemplo de Parameter Store que usa o tipo de token ssm
.
File MyFile { DestinationPath = "C:\ProgramData\ConnectionData.txt" Content = "{ssm:%servicePath%/ConnectionData}" }
Os tokens desempenham um papel importante para reduzir o código redundante tornando arquivos MOF genéricos e reutilizáveis. Se você pode evitar o arquivo MOF específico do servidor, não há necessidade de um serviço de criação de MOF. Um serviço de criação de MOF aumenta os custos, reduz o tempo de provisionamento e aumenta o risco de oscilações de configuração entre nós agrupados devido a diferentes versões do módulo a ser instalado no servidor de compilação quando os MOFs foram compilados.
Pré-requisitos para criar associações que executam arquivos MOF
Antes de criar uma associação que executa arquivos MOF, verifique se os nós gerenciados têm os seguintes pré-requisitos instalados:
-
Windows PowerShell versão 5.0 ou posterior. Para obter mais informações, consulte Requisitos do sistema Windows PowerShell
no site Microsoft.com. -
AWS Tools for Windows PowerShell
versão 3.3.261.0 ou posterior. -
SSM Agent versão 2.2 ou posterior.
Criar uma associação que executa arquivos MOF
Para criar uma associação que executa arquivos MOF
Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/
. No painel de navegação, escolha State Manager.
-
Escolha State Manager e, em seguida, Create Association (Criar associação).
-
No campo Name, especifique um nome. Isso é opcional, mas recomendado. Um nome pode ajudar você a compreender a finalidade da associação quando a criou. Espaços não são permitidos no nome.
-
Na lista Document (Documento), escolha
AWS-ApplyDSCMofs
. -
Na seção Parameters, especifique suas opções para os parâmetros de entrada necessários e opcionais.
-
Mofs To Apply (MOFs para aplicar): especifique um ou mais arquivos MOF a serem executados quando essa associação é executada. Use vírgulas para separar uma lista de arquivos MOF. Você pode especificar as seguintes opções para localizar o arquivo MOF.
-
Um nome de bucket do Amazon S3. Os nomes de bucket devem usar letras minúsculas. Especifique essas informações usando o formato a seguir.
s3:
amzn-s3-demo-bucket
:MOF_file_name
.mofSe você quiser especificar uma Região da AWS, use o formato a seguir.
s3:
bucket_Region
:amzn-s3-demo-bucket
:MOF_file_name
.mof -
Um site seguro. Especifique essas informações usando o formato a seguir.
https://
domain_name
/MOF_file_name
.mofAqui está um exemplo.
https://www.example.com/TestMOF.mof
-
Um sistema de arquivos em um compartilhamento local. Especifique essas informações usando o formato a seguir.
\
server_name
\shared_folder_name
\MOF_file_name
.mofAqui está um exemplo.
\StateManagerAssociationsBox\MOFs_folder\MyMof.mof
-
-
Service Path (Caminho do serviço): (opcional) um caminho de serviço é um prefixo do bucket do Amazon S3 no qual você deseja gravar relatórios e informações de status. Ou, um caminho de serviço é um caminho para tags com base no parâmetro Parameter Store. Ao resolver tags com base em parâmetros, o sistema usa {ssm:%servicePath%/
parameter_name
} para injetar o valor servicePath no nome do parâmetro. Por exemplo, se o caminho de serviço é "WebServers/Produção", os sistemas resolve o parâmetro como: WebServers/Production/parameter_name
. Isso é útil para quando você estiver executando vários ambientes na mesma conta. -
Report Bucket Name (Nome do bucket de relatórios): (opcional) insira o nome de um bucket do Amazon S3 em que você deseja gravar dados de conformidade. Os relatórios são salvos nesse bucket no formato JSON.
nota
Você pode prefixar o nome do bucket com uma região em que o bucket está localizado. Veja um exemplo: us-west-2:MyMOFBucket. Se você estiver usando um proxy para endpoints do Amazon S3 em uma região específica que não inclua us-east-1, prefixe o nome do bucket com uma região. Se o nome do bucket não for prefixado, ele detectará automaticamente a região do bucket usando o endpoint us-east-1.
-
Mof Operation Mode (Modo de operação do Mof): escolha o comportamento State Manager ao executar a associação
AWS-ApplyDSCMofs
:-
Apply (Aplicar): corrija as configurações de nó que não são compatíveis.
-
ReportOnly (Somente relatar): não corrija configurações de nó, mas registre todos os dados de conformidade e relate nós que não são compatíveis.
-
-
Status Bucket Name (Nome do bucket de status): (opcional) insira o nome de um bucket do Amazon S3 em que você deseja gravar informações de status de execução do MOF. Esses relatórios de status são resumos da execução de conformidade mais recente de um nó. Isso significa que o relatório será substituído na próxima vez que a associação executar arquivos MOF.
nota
Você pode prefixar o nome do bucket com uma região em que o bucket está localizado. Veja um exemplo:
us-west-2:amzn-s3-demo-bucket
Se você estiver usando um proxy para endpoints do Amazon S3 em uma região específica que não inclua us-east-1, prefixe o nome do bucket com uma região. Se o nome do bucket não for prefixado, ele detectará automaticamente a região do bucket usando o endpoint us-east-1. -
Module Source Bucket Name (Nome do bucket de origem do módulo): (opcional) insira o nome de um bucket do Amazon S3 que contém arquivos de módulo do PowerShell. Se você especificar None, deverá escolher True para a próxima opção, Allow PS Gallery Module Source.
nota
Você pode prefixar o nome do bucket com uma região em que o bucket está localizado. Veja um exemplo:
us-west-2:amzn-s3-demo-bucket
Se você estiver usando um proxy para endpoints do Amazon S3 em uma região específica que não inclua us-east-1, prefixe o nome do bucket com uma região. Se o nome do bucket não for prefixado, ele detectará automaticamente a região do bucket usando o endpoint us-east-1. -
Allow PS Gallery Module Source: (opcional) escolha True para fazer download de módulos do PowerShell em https://www.powershellgallery.com/
. Se você escolher False, deverá especificar uma origem para a opção anterior, ModuleSourceBucketName. -
Proxy Uri: (opcional) use essa opção para fazer download de arquivos MOF a partir de um servidor de proxy.
-
Reboot Behavior: (opcional) especifique um dos seguintes comportamentos de reinicialização se a execução do arquivo MOF precisar de reinicialização:
-
AfterMof (Após MOF): reinicializa o nó depois que todas as execuções de MOF são concluídas. Mesmo se várias execuções de MOF solicitarem reinicialização, o sistema aguardará até que todas as execuções de MOF sejam concluídas para reinicializar.
-
Immediately (Imediatamente): reinicia o nó sempre que uma execução de MOF solicita. Se estiver executando vários arquivos MOF que solicitam reinicialização, o nó será reinicializado várias vezes.
-
Never (Nunca): os nós não serão reinicializados, mesmo se a execução de MOF explicitamente solicitar uma reinicialização.
-
-
Use Computer Name For Reporting: (opcional) ative essa opção para usar o nome do computador para notificar as informações de conformidade. O valor padrão é false (falso), o que significa que o sistema usa o ID do nó para notificar as informações de conformidade.
-
Enable Verbose Logging: (opcional) recomendamos que você ative o log detalhado ao implantar arquivos MOF pela primeira vez.
Importante
Quando habilitado, o registro em log detalhado grava mais dados no bucket do Amazon S3 do que o registro de execução da associação padrão. Isso pode resultar em uma performance mais lenta e possivelmente em cobranças de armazenamento mais altas para o Amazon S3. Para reduzir problemas de tamanho do armazenamento, recomendamos ativar as políticas de ciclo de vida no bucket do Amazon S3. Para obter mais informações, consulte Como criar uma política de ciclo de vida para um bucket do S3? no Guia do usuário do console do Amazon Simple Storage Service.
-
Enable Debug Logging: (opcional) recomendamos que você ative o registro de depuração se precisar solucionar falhas de MOF. Recomendamos também que você desative essa opção para uso normal.
Importante
Quando ativado, o registro de depuração grava mais dados no bucket do Amazon S3 do que o registro de execução da associação padrão. Isso pode resultar em uma performance mais lenta e possivelmente em cobranças de armazenamento mais altas para o Amazon S3. Para reduzir problemas de tamanho do armazenamento, recomendamos ativar as políticas de ciclo de vida no bucket do Amazon S3. Para obter mais informações, consulte Como criar uma política de ciclo de vida para um bucket do S3? no Guia do usuário do console do Amazon Simple Storage Service.
-
Compliance Type: (opcional) especifique o tipo de conformidade a ser usado para relatar informações de conformidade. O tipo de conformidade padrão é Custom:DSC. Se você criar várias associações que executam arquivos MOF, certifique-se de especificar um tipo de conformidade diferente para cada associação. Caso contrário, cada associação adicional que use Custom:DSC substituirá os dados de conformidade existentes.
-
Pre Reboot Script (Script pré-reinicialização): (opcional) especifique um script para executar se a configuração indicou que uma reinicialização é necessária. O script é executado antes da reinicialização. O script deve ser uma única linha. Separe linhas adicionais usando ponto-e-vírgula.
-
-
Na seção Targets (Destinos), escolha Specifying tags (Especificação de tags) ou Manually Selecting Instance (Seleção manual da instância). Se você optar por definir o destino dos recursos usando tags, insira uma chave de tag e um valor da tag nos campos fornecidos. Para obter mais informações sobre como usar destinos, consulte Sobre destinos e controles de taxa em associações do State Manager.
-
Na seção Specify schedule (Especificar programação), escolha On Schedule (Na programação) ou No schedule (Sem programação). Se você escolher On Schedule (Na programação), use os botões fornecidos para criar uma programação cron ou rate para a associação.
-
Na seção Advanced options:
-
Em Compliance severity, escolha um nível de gravidade para a associação. Relatórios de conformidade indicam se o estado é compatível ou não, juntamente com o nível de gravidade que você indicar aqui. Para ter mais informações, consulte Sobre a conformidade de associações do State Manager.
-
-
Na seção Rate control (Controle de taxa), configure opções para executar associações do State Manager na frota de nós gerenciados. Para obter mais informações sobre essas opções, consulte Sobre destinos e controles de taxa em associações do State Manager.
Na seção Concurrency (Simultaneidade), escolha uma opção:
-
Escolha Targets (Destinos) para inserir um número absoluto de destinos que podem executar a associação simultaneamente.
-
Escolha Percentage (Porcentagem) para inserir uma porcentagem do conjunto de destino que pode executar a associação simultaneamente.
Na seção Error threshold (Limite de erro), escolha uma opção:
-
Escolha Errors (Erros) para inserir um número absoluto de erros permitidos antes de o State Manager parar de executar associações em destinos adicionais.
-
Escolha Percentage (Porcentagem) para inserir uma porcentagem de erros permitidos antes de o State Manager parar de executar associações em destinos adicionais.
-
(Opcional) Em Opções de saída, para salvar a saída de comando em um arquivo, selecione a caixa Habilitar a gravação da saída no S3. Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.
nota
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil da instância atribuído ao nó gerenciado, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte Configurar permissões de instância obrigatórias para o Systems Manager ou Criar um perfil de serviço do IAM para um ambiente híbrido. Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço IAM associada ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
-
Escolha Create Association (Criar associação).
O State Manager cria e executa imediatamente a associação nos nós ou destinos especificados. Após a execução inicial, a associação é executada em intervalos de acordo com o agendamento que você definiu e de acordo com as seguintes regras:
-
O State Manager executa associações em nós que estiverem online quando o intervalo for iniciado e ignora os nós offline.
-
O State Manager tenta executar a associação em todos os nós configurados durante um intervalo.
-
Se uma associação não for executada durante um intervalo (porque, por exemplo, um valor de simultaneidade limita o número de nós que podem processar a associação de uma só vez), o State Manager tentará executar a associação durante o próximo intervalo.
-
O State Manager registra o histórico de todos os intervalos ignorados. Você pode visualizar o histórico na guia Execution History.
nota
O AWS-ApplyDSCMofs
é um documento do Command do Systems Manager. Isso significa que você também pode executar esse documento usando o Run Command, um recurso do AWS Systems Manager. Para ter mais informações, consulte AWS Systems Manager Run Command.
Solução de problemas na criação de associações que executam arquivos MOF
Esta seção inclui informações para ajudá-lo a solucionar problemas ao criar associações que executam arquivos MOF.
Ativar registro em log aprimorado
Como primeiro passo para a solução de problemas, ative o registro aprimorado. Mais especificamente, faça o seguinte:
-
Verifique se a associação está configurada para gravar a saída do comando no Amazon S3 ou no Amazon CloudWatch Logs (CloudWatch).
-
Defina o parâmetro Enable Verbose Logging como True.
-
Defina o parâmetro Enable Debug Logging como True.
Com registro detalhado e de depuração ativado, o arquivo de saída Stdout inclui detalhes sobre a execução do script. Esse arquivo de saída pode ajudar a identificar onde o script falhou. O arquivo de saída Stderr contém erros que ocorreram durante a execução do script.
Problemas comuns ao criar associações que executam arquivos MOF
Esta seção inclui informações sobre problemas comuns que podem ocorrer ao criar associações que executam arquivos MOF e etapas para solucionar esses problemas.
Meu MOF não foi aplicado
Se State Manager não conseguiu aplicar a associação aos seus nós, comece examinando o arquivo de saída Stderr. Esse arquivo pode ajudá-lo a compreender a causa raiz do problema. Além disso, verifique o seguinte:
-
O nó tem as permissões de acesso necessárias para todos os buckets do Amazon S3 relacionados ao MOF. Especificamente:
-
Permissões s3:GetObject: necessárias para arquivos MOF em buckets do Amazon S3 privados, bem como em módulos personalizados em buckets do Amazon S3.
-
Permissão s3:PutObject: necessária para gravar relatórios de conformidade e status de conformidade em buckets do Amazon S3.
-
-
Se você estiver usando tags, certifique-se de que o nó tenha a política do IAM necessária. Usar tags exige que a função do IAM da instância tenha uma política que permita as ações as
ec2:DescribeInstances
essm:ListTagsForResource
. -
Verifique se o nó tem as tags esperadas ou os parâmetros atribuídos.
-
Verifique se as tags ou os parâmetros do SSM estão escritos corretamente.
-
Tente aplicar o MOF localmente no nó para garantir que não haja um problema com o arquivo MOF em si.
Meu MOF parecia falhar, mas a execução do Systems Manager foi bem-sucedida
Se o documento AWS-ApplyDSCMofs
foi executado com êxito, o status da execução do Systems Manager será Success (Êxito). Esse status não reflete o status de conformidade de seu nó com os requisitos de configuração no arquivo MOF. Para visualizar o status de conformidade de seus nós, visualize os relatórios de conformidade. Você pode visualizar um relatório JSON no bucket de relatórios do Amazon S3. Isso se aplica às execuções Run Command e State Manager. Além disso, para o State Manager, você pode visualizar detalhes de conformidade na página Compliance (Conformidade) do Systems Manager.
Estados de Stderr: falha de resolução de nome ao tentar entrar em contato com o serviço
Esse erro indica que o script não pode atingir um serviço remoto. O mais provável é que o script não consiga alcançar o Amazon S3. Esse problema geralmente ocorre quando o script tenta gravar relatórios de conformidade ou status de conformidade no bucket do Amazon S3 fornecido nos parâmetros do documento. Normalmente, esse erro ocorre quando um ambiente de computação usa um firewall ou proxy transparente que inclui uma lista de permissões. Para resolver esse problema:
-
Use a sintaxe do bucket específico da região para todos os parâmetros do bucket do Amazon S3. Por exemplo, o parâmetro Mofs to Apply deve ser formatado da seguinte forma:
s3:
bucket-region
:bucket-name
:mof-file-name
.mof.Exemplo:
s3:us-west-2:amzn-s3-demo-bucket:my-mof.mof
Os nomes de bucket Report, Status e Module Source devem ser formatados da seguinte forma:
bucket-region
:bucket-name
. Aqui está um exemplo:us-west-1:amzn-s3-demo-bucket;
-
Se a sintaxe específica da região não corrigir o problema, verifique se os nós de destino podem acessar o Amazon S3 na região desejada. Para verificar isso:
-
Localize o nome do endpoint do Amazon S3 na região do Amazon S3 apropriada. Para obter informações, consulte Amazon S3 Service Endpoints no Referência geral da Amazon Web Services.
-
Faça login no nó de destino e execute o comando ping a seguir:
ping s3.
s3-region
.amazonaws.com.rproxy.goskope.comUma falha de ping significa que o Amazon S3 está inativo ou um firewall/proxy transparente está bloqueando o acesso à região do Amazon S3 ou o nó não pode acessar a Internet.
-
Visualizar detalhes de conformidade de recurso do DSC
O Systems Manager captura informações de conformidade sobre falhas de recursos do DSC no bucket de status do Amazon S3 que você especificou ao executar o documento AWS-ApplyDSCMofs
. Pesquisar informações sobre falhas de recursos do DSC em um bucket do Amazon S3 pode ser demorado. Em vez disso, você pode exibir essas informações na página Compliance (Conformidade) do Systems Manager.
A seção Compliance resources summary (Resumo dos recursos de conformidade) exibe uma contagem do recursos com falha. No exemplo a seguir, o ComplianceType é Custom:DSC e um recurso não está em conformidade.
nota
Custom:DSC é o valor padrão de ComplianceType no documento AWS-ApplyDSCMofs
. Esse valor é personalizável.
A seção Details overview for resources (Visão geral dos detalhes dos recursos) exibe informações sobre o recurso da AWS que não está em conformidade com o recurso do DSC. Esta seção também inclui o nome do MOF, as etapas de execução do script e (quando aplicável) um link View output (Visualizar saída) para visualizar informações detalhadas do status.
O link View output (Visualizar saída) mostra os últimos 4.000 caracteres do status detalhado. O Systems Manager começa com a exceção como o primeiro elemento e verifica novamente as mensagens detalhadas e adiciona todos os itens que conseguir até atingir a cota de 4.000 caracteres. Esse processo exibe as mensagens de log que foram registradas antes da exceção ser gerada, que são as mensagens mais relevantes para a solução de problemas.
Para obter informações sobre como visualizar informações de conformidade, consulte Conformidade com o AWS Systems Manager.
Situações que afetam o relatório de conformidade
Se houver falha na associação do State Manager, os dados de conformidade não serão relatados. Mais especificamente, se houver falha no processamento de um MOF, o Systems Manager não relatará nenhum item de conformidade porque haverá falha nas associações. Por exemplo, se o Systems Manager tentar baixar um MOF de um bucket do Amazon S3 que o nó não tem permissão para acessar, haverá falha na associação e os dados sem conformidade serão relatados.
Se houver falha em um segundo recurso do MOF, o Systems Manager relatará os dados de conformidade. Por exemplo, se um MOF tentar criar um arquivo em uma unidade que não existe, o Systems Manager relatará os dados de conformidade porque o documento AWS-ApplyDSCMofs
poderá ser processado completamente, o que significa que a associação foi executada com êxito.